@CI
2年前 提问
1个回答

实战攻防演练中主要暴露出的薄弱环节有哪些

趣能一姐
2年前

实战攻防演练中主要暴露出以下薄弱环节:

  • 互联网未知资产或服务大量存在:在实战攻防演练中,资产的控制权和所有权始终是攻防双方的争夺焦点。互联网暴露面作为流量的入口,是攻击方重要的攻击对象。资产不清是很多政企单位面临的现状。数字化转型带来的互联网暴露面不断扩大,政企单位的资产范围不断外延。除了看得到的“冰面资产”之外,还有大量的冰面之下的资产,包括无主资产、灰色资产、僵尸资产等。在实战攻防演练中,一些单位存在年久失修、无开发维护保障的老旧系统和僵尸系统,因为清理不及时,这些系统容易成为攻击者的跳板,构成严重的安全隐患。

  • 网络及子网内部安全域之间隔离措施不到位:网络内部的隔离措施是考验企业网络安全防护能力的重要因素。很多机构没有严格的访问控制(ACL)策略,在DMZ(隔离区)和办公网之间不进行或很少进行网络隔离,办公网和互联网相通,网络区域划分不严格,可以直接使远程控制程序上线,导致攻击方可以轻易实现跨区攻击。

  • 互联网应用系统常规漏洞过多:在历年的实战攻防演练期间,已知应用系统漏洞、中间件漏洞以及因配置问题产生的常规漏洞,是攻击方发现的明显问题和主要攻击渠道。

  • 互联网敏感信息泄露明显:网络拓扑、用户信息、登录凭证等敏感信息在互联网上被大量泄露,成为攻击方突破点。实际上,2020年是有记录以来数据泄露最严重的一年。根据Canalys的报告,2020年泄露的记录比过去15年的总和还多。大量互联网敏感数据泄露,为攻击者进入内部网络和开展攻击提供了便利。

  • 边界设备成为进入内网的缺口:互联网出口和应用都是攻入内部网络的入口和途径。目前政企机构的接入防护措施良莠不齐,给蓝队创造了大量的机会。针对VPN系统等开放于互联网边界的设备或系统,为了避免影响员工使用,很多政企机构没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,蓝队可以通过这些系统突破边界直接进入内部网络。

  • 内网管理设备成为扩大战果的突破点:主机承载着政企机构的关键业务应用,须重点关注,重点防护。但很多机构的内部网络的防御机制脆弱,在实战攻防演练期间,经常出现早已披露的陈年漏洞未修复,特别是内部网络主机、服务器以及相关应用服务补丁修复不及时的情况。对于蓝队来说,这些脆弱点是可利用的重要途径,可以用来顺利拿下内部网络服务器及数据库权限。

  • 安全设备自身安全成为新的风险点:安全设备作为政企机构对抗攻击者的重要工具,其安全性应该相对较高,但实际上安全产品自身也无法避免0day攻击,安全设备自身安全成为新的风险点。每年攻防演练都会爆出某某安全设备自身存在的某某漏洞被利用、被控制,反映出安全设备厂商自身安全开发和检测能力没有做到位,给蓝队留下了后门,形成新的风险点。2020年实战攻防演练的一大特点是,安全产品的漏洞挖掘和利用现象非常普遍,多家企业的多款安全产品被挖掘出新漏洞(0day漏洞)或存在高危漏洞。

  • 供应链攻击成为攻击方的重要突破口:在攻防演练过程中,随着防守方对攻击行为的监测、发现和溯源能力大幅增强,攻击队开始更多地转向供应链攻击等新型作战策略。蓝队会从IT(设备及软件)服务商、安全服务商、办公及生产服务商等供应链机构入手,寻找软件、设备及系统漏洞,发现人员及管理薄弱点并实施攻击。常见的系统突破口有邮件系统、OA系统、安全设备、社交软件等,常见的突破方式有利用软件漏洞、管理员弱口令等。由于攻击对象范围广,攻击方式隐蔽,供应链攻击成为攻击方的重要突破口,给政企安全防护带来了极大的挑战。从奇安信在2021年承接的实战攻防演练情况来看,由于供应链管控弱,软件外包、外部服务提供商等成为迂回攻击的重要通道。

  • 员工安全意识淡薄是攻击的突破口:很多情况下,攻击人要比攻击系统容易得多。利用人员安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗,是攻击方经常使用的手法。

  • 内网安全检测能力不足:攻防演练中,攻击方攻击测试,对防守方的检测能力要求更高。网络安全监控设备的部署、网络安全态势感知平台的建设,是实现安全可视化、安全可控的基础。部分企业采购并部署了相关工具,但是每秒上千条告警,很难从中甄别出实际攻击事件。此外,部分老旧的防护设备,策略配置混乱,安全防护依靠这些系统发挥中坚力量,势必力不从心。流量监测及主机监控工具缺失,仅依靠传统防护设备的告警,甚至依靠人工翻阅海量日志来判断攻击,会导致“巧妇难为无米之炊”。更重要的是,精于内部网络隐蔽渗透的攻击方在内部网络进行非常谨慎而隐蔽的横向拓展,很难被流量监测设备或态势感知系统检测。

实战攻防演练中薄弱环节克服方法:

  • 安全评估:利用渗透测试、红队评估等手段,发现和评估信息系统原有的脆弱性,预测攻击者可能采取的攻击方式。

  • 威胁建模:基于用户环境,通过对核心数据系统、业务系统、权限控制系统迅速构建精确的威胁检测模型,形成安全基线,并对主机层面的细粒度数据进行实时监控、体检,主动捕获异常行为,提前发现问题。

  • 风险发现:持续、全面、透彻地发现潜在风险及安全薄弱点,包括弱密码、安全补丁、应用风险等。

  • 安全加固:通过补丁升级、策略优化、部署安全设备等手段,将风险降到最低,并增强对威胁的可见、可防、可溯源等综合能力。

  • 安全培训:从安全技术和意识等方面提高技术人员处置能力以及全员安全意识,最大程度限制红队通过网络钓鱼等非技术性攻击的成功率。

  • 整改提升:全面复盘在演练中暴露的脆弱点,并根据需求升级防护策略,以进一步提高目标系统的安全防护能力,为下一步安全建设规划提供必要的支撑。